Hack Alerta

Campanha ClickFix rouba sessões do Facebook com páginas de verificação falsas

Por Redação Hack Alerta Publicado em 22/01/2026 12:01 Cyber ataques Tempo de leitura: 4 min

Pesquisas públicas documentam a campanha ClickFix, que desde janeiro de 2025 usa páginas de verificação falsas para instruir vítimas a extrair manualmente tokens de sessão (c_user e xs) do navegador. Operadores mantêm resiliência via múltiplos hosts e endpoints de coleta (Formspark, submit-form.com); foram identificadas ao menos 115 páginas de phishing e oito endpoints de dados. A técnica permite tomada de conta sem senha e inclui fases de fallba

Introdução: Pesquisadores identificaram uma campanha de phishing — apelidada ClickFix — que convence usuários a entregar tokens de sessão do Facebook, possibilitando tomada de conta completa.

Descoberta e escopo

Relatórios do setor, incluindo investigação da Hunt.io citando identificação inicial pela Unit42 em dezembro de 2025, mostram que a campanha está ativa desde janeiro de 2025 e continuou a operar ao longo de 2025 e início de 2026. As análises apontam para pelo menos 115 páginas de phishing distintas e oito endpoints separados usados para coleta de dados.

Vetor e técnica

A técnica usada pela ClickFix não depende de malware: o atacante emprega engenharia social e páginas que imitam exatamente portais oficiais de verificação do Facebook. As vítimas recebem mensagens prometendo um selo de verificação gratuito ou notificações de revisão urgente de conta; ao seguir o link, são redirecionadas por uma cadeia que culmina em uma página com aparência legítima.

  • As páginas exibem animações, contadores e mensagens de urgência para induzir ação imediata.
  • Um elemento chave é um vídeo instrucional embutido que orienta o usuário a abrir as ferramentas de desenvolvedor do navegador e copiar valores de cookies de sessão, especialmente os rótulos c_user e xs.
  • Os valores inseridos em formulários na página são validados em tempo real por JavaScript para confirmar que correspondem a padrões de sessão válidos do Facebook — filtrando entradas inválidas antes de encaminhar dados ao backend do atacante.

Infraestrutura e resiliência operacional

Os operadores hospedam as páginas em serviços "amigáveis ao abuso" e fáceis de reimplantar (Netlify, Vercel, Wasmer, GitHub Pages, Surge, entre outros). Quando um domínio é derrubado, novos sites são publicados em minutos. Além disso, os tokens recolhidos são enviados a endpoints separados baseados em serviços de formulários (Formspark, submit-form.com), desacoplando a coleta da página de phishing e dificultando a rastreabilidade.

Impacto observado

Um token de sessão válido permite controle imediato da conta sem necessidade de senha: alteração de credenciais, acesso a métodos de pagamento, e interação como o titular da conta. As campanhas focam criadores de conteúdo, páginas monetizadas e empresas que buscam verificação — perfis com alto valor para invasores que visam fraude, golpes e abuso de identidade.

Evidências, limites e fallback

As descrições técnicas documentadas pela Hunt.io e reportadas por Unit42 detalham o fluxo de extração manual de tokens. Quando um token deixa de ser utilizável, as páginas possuem fases adicionais que solicitam códigos de recuperação e, por fim, a senha do usuário, completando uma cadeia de furto de credenciais com múltiplos vetores de recuperação para o atacante.

Recomendações práticas

  • Educar usuários com privilégios de página (criadores, administradores) a nunca compartilhar valores de cookies ou seguir instruções para abrir ferramentas de desenvolvedor a pedido de terceiros.
  • Habilitar autenticação multifatorial forte para contas pessoais e de páginas — evitar métodos fracos suscetíveis a bypass por token.
  • Monitorar logins e sessões atípicas; invalidar sessões ativas e forçar reautenticação quando houver atividade suspeita.
  • Empresas e times de segurança devem implementar proteção de links em comunicações e revisão de fluxos de verificação para reduzir sinais falsos de legitimidade (contadores, sons e animações usados por phishers).

O que falta e incertezas

As fontes descrevem a infraestrutura e os métodos de coleta, mas não quantificam o número total de contas comprometidas nem detalham campanhas regionais específicas. Também não há, nas matérias consultadas, confirmação pública de explorações em larga escala contra empresas ou marcas específicas. Falta transparência sobre atribuição dos operadores além das análises de infraestrutura e padrões táticos.

Repercussão

Para equipes de segurança, a ClickFix é um alerta sobre a eficácia de ataques que exploram confiança e instrução direta ao usuário. A dependência de serviços de hosting e de coleta de formulários legítimos destaca a necessidade de integração entre times de segurança e fornecedores de plataforma para acelerar a remoção de páginas maliciosas.

Fonte: Relatório da Hunt.io e cobertura do Cyber Security News, com identificação inicial pela Unit42.
Baseado em publicação original de Cyber Security News
Tags: #facebook #phishing #clickfix #session-tokens #token-theft #hunt.io #formspark #netlify #conteudo-criadores
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar